En julio de 2024, el proveedor de ciberseguridad KnowBe4 comenzó a observar una actividad sospechosa relacionada con un nuevo empleado que comenzó a manipular y transferir archivos potencialmente dañinos, e intentó ejecutar software no autorizado. Posteriormente, se descubrió que era un trabajador norcoreano que había engañado al equipo de recursos humanos de la empresa para conseguir un empleo a distancia. En total, consiguió superar cuatro entrevistas por videoconferencia, así como una comprobación de antecedentes y previa a la contratación.

El incidente subraya que ninguna organización es inmune al riesgo de contratar inadvertidamente a un saboteador. Las amenazas basadas en la identidad no se limitan al robo de contraseñas o la apropiación de cuentas, sino que se extienden a las personas que se incorporan a la plantilla. A medida que la IA mejora en la falsificación de la realidad, es el momento de mejorar los procesos de contratación.

La magnitud del reto

Esta amenaza ha estado presente desde, al menos, abril de 2017, según una alerta de búsqueda del FBI y fue rastreado como WageMole por ESET Research. Su actividad se solapa con grupos etiquetados como UNC5267 y Jasper Sleet por otros investigadores. Según Microsoft, el gobierno estadounidense ha descubierto más de 300 empresas —algunas de ellas incluidas en la lista Fortune 500— que han sido víctimas de este tipo de ataques, entre 2020 y 2022. La empresa tecnológica se vio obligada en junio a suspender 3.000 cuentas de Outlook y Hotmail creadas por solicitantes de empleo norcoreanos.

Por otra parte, una acusación estadounidense imputa a dos norcoreanos y tres «facilitadores» haber obtenido más de 860.000 dólares de 10 de las más de 60 empresas en las que trabajaron. Pero no se trata solo de un problema estadounidense. Los investigadores de ESET han advertido de que el foco se ha desplazado recientemente a Europa, incluyendo Francia, Polonia y Ucrania. Por su parte, Google ha advertido de que las empresas británicas también están en el punto de mira.

¿Cómo lo hacen?

Es posible que miles de trabajadores norcoreanos hayan encontrado empleo de esta forma. Crean o roban identidades que coinciden con la ubicación de la organización objetivo y, a continuación, abren cuentas de correo electrónico, perfiles en redes sociales y cuentas falsas en plataformas de desarrolladores como GitHub para añadir legitimidad. Durante el proceso de contratación, pueden utilizar imágenes y vídeos deepfake, o software de intercambio de caras y cambio de voz, para disfrazar su identidad o crear otras sintéticas.

Según los investigadores de ESET, el grupo WageMole está vinculado a otra campaña norcoreana que rastrea como DeceptiveDevelopment. Esta se centra en engañar a desarrolladores occidentales para que soliciten trabajos inexistentes. Los estafadores piden a sus víctimas que participen en un reto de codificación o en una tarea previa a una entrevista. Pero el proyecto que descargan para participar contiene en realidad código troyanizado. WageMole roba estas identidades de desarrolladores para utilizarlas en sus falsos esquemas de trabajadores.

La clave de la estafa reside en los facilitadores extranjeros. En primer lugar, ayudan a

  • crear cuentas en sitios web de trabajo autónomo
  • crear cuentas bancarias, o prestar al trabajador norcoreano la suya propia
  • comprar números de móvil o tarjetas SIM
  • validar la identidad fraudulenta del trabajador durante la verificación del empleo, utilizando servicios de comprobación de antecedentes

Una vez contratado el falso trabajador, estos individuos reciben el portátil corporativo y lo instalan en una granja de portátiles situada en el país de la empresa contratante. A continuación, el trabajador informático norcoreano utiliza VPN, servicios proxy, supervisión y gestión remota (RMM) y/o servidores privados virtuales (VPS) para ocultar su verdadera ubicación.

El impacto en las organizaciones engañadas podría ser enorme. No solo están pagando involuntariamente a trabajadores de un país fuertemente sancionado, sino que estos mismos empleados a menudo obtienen acceso privilegiado a sistemas críticos. Es una invitación abierta a robar datos confidenciales o incluso a pedir un rescate a la empresa.

Cómo detectarlos y detenerlos

Financiar sin saberlo las ambiciones nucleares de un estado paria es casi tan malo como el daño a la reputación, por no mencionar la exposición financiera al riesgo de violación que conlleva el compromiso. ¿Cómo puede evitar su organización convertirse en la próxima víctima?

1. Identifique a los falsos trabajadores durante el proceso de contratación

  • Compruebe el perfil digital del candidato, incluidas las redes sociales y otras cuentas en línea, en busca de similitudes con otras personas cuya identidad puedan haber robado. También pueden crear varios perfiles falsos para solicitar puestos de trabajo con nombres diferentes.
  • Preste atención a las discrepancias entre las actividades en línea y la experiencia declarada: un "desarrollador senior" con repositorios de código genéricos o cuentas creadas recientemente debería hacer saltar las alarmas.
  • Asegúrese de que tiene un número de teléfono legítimo y único, y compruebe que su currículum no presenta incoherencias. Compruebe que las empresas mencionadas existen realmente. Póngase en contacto directamente con las referencias (teléfono/videollamada) y preste especial atención a los empleados de las empresas de personal.
  • Dado que muchos solicitantes pueden utilizar audio, vídeo e imágenes falsificados, insista en las entrevistas en vídeo y realícelas varias veces durante la contratación.
  • Durante las entrevistas, considere una advertencia importante cualquier afirmación de que la cámara funciona mal. Pídale al candidato que apague los filtros de fondo para tener más posibilidades de identificar los deepfakes (los indicios podrían incluir fallos visuales, expresiones faciales que parecen rígidas y poco naturales y movimientos de los labios que no se sincronizan con el audio) Hágales preguntas basadas en la ubicación y la cultura del lugar donde "viven" o "trabajan", por ejemplo, sobre la comida o los deportes locales.

2. Vigile a los empleados en busca de actividades potencialmente sospechosas

  • Esté atento a señales de alarma como números de teléfono chinos, descarga inmediata de software RMM en un portátil recién entregado y trabajo realizado fuera del horario normal de oficina. Si el portátil se autentica desde direcciones IP chinas o rusas, también debe investigarse.
  • Vigile el comportamiento de los empleados y los patrones de acceso al sistema, como inicios de sesión inusuales, transferencias de archivos de gran tamaño o cambios en el horario de trabajo. Céntrese en el contexto, no solo en las alertas: la diferencia entre un error y una actividad maliciosa puede estar en la intención.
  • Utilice herramientas contra amenazas internas para detectar actividades anómalas.

3. Contenga la amenaza

  • Si cree haber identificado a un trabajador norcoreano en su organización, actúe con cautela al principio para no ponerle sobre aviso.
  • Limite su acceso a recursos sensibles y revise su actividad en la red, limitando este proyecto a un pequeño grupo de personas de confianza de los departamentos de seguridad informática, recursos humanos y jurídico.
  • Conserve las pruebas e informe del incidente a las fuerzas de seguridad, al tiempo que busca asesoramiento jurídico para la empresa.

Cuando se haya calmado el ambiente, también es buena idea actualizar los programas de formación sobre ciberseguridad. Y asegurarse de que todos los empleados, especialmente los responsables de contratación de TI y el personal de recursos humanos, comprenden algunas de las señales de alarma a las que hay que prestar atención en el futuro. Las tácticas, técnicas y procedimientos (TTP) de los actores de amenazas evolucionan constantemente, por lo que estos consejos también deberán cambiar periódicamente.

Los mejores métodos para evitar que los falsos candidatos se conviertan en informadores maliciosos combinan los conocimientos humanos y los controles técnicos. Asegúrese de cubrir todas las bases.